基于网络中ARP问题的分析及对策
1某医院网络的现状分析
目前医院网络现存主要问题是ARP病毒的泛滥,表现形式是:虽然网络连接正常,却无法打开网页;计算机网络经常断线,同时网络速度变慢。这些都是由于存在ARP问题,所表现出来的网络故障情况。
ARP欺骗攻击不仅影响网络稳定,更严重的是利用ARP欺骗攻击可进行中间人攻击,欺骗整个局域网内所有主机和网关,导致所有网络流量都经过攻击者主机进行转发,攻击者通过截得获取的信息可得到相关用户名和口令。ARP是把IP翻译成MAC的一种协议,通过它交换机完成数据报文的快速转发,所以交换机要学习IP和MAC的对应关系,形成ARP表项,存储在计算机和网络设备的内存中。因历史原因,ARP设计并没有考虑安全性,于是现实中出现了问题:局域网上的一台主机,如果接收到一个ARP报文,即使该报文不是该主机所发送的ARP请求的应答报文,该主机也会将ARP报文中的发送者的MAC地址和IP地址更新或加入到ARP表中。
2某医院网络改造方案
根据前面与医院的交流,本次网络改造主要解决目前网络当中存在的ARP攻击欺骗为主,兼顾流量分析、终端管理等网络维护管理内容。设计本方案的基础是,网络因为无法再重新布线,需要维持原有网络拓扑,将原先的接入交换机和核心交换机替换为H3C全系列支持ARP攻击防御解决方案的接入交换机H3C3100EI及核心插卡式高端交换机H3CS7502E系列交换机。业界常用解决方案是在接入交换机上配置命令做网关IP和MAC的绑定,防御网关仿冒,H3C也可以实现此方案,但这种方案局限性较大,仅适用某些特定网络场景和一种ARP攻击的防御,不够全面。下面以H3C交换机为例为该医院出现的一些问题进行设计介绍。
2.1全面的ARP攻击防御解决方案
根据该医院ARP攻击的特点,在DHCP监控模式下的防ARP攻击解决方案。通过接入交换机上开启DHCPSnooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能,可以防御常见的ARP攻击。1)DHCPSnooping功能。通过监听DHCP报文,记录DHCP客户端IP地址与MAC地址的对应关系,并且所有重要服务器的IP的绑定关系将由H3CCAMS认证服务器发布到计算机终端,避免被ARP攻击欺骗。2)ARP入侵检测功能。H3C接入交换机根据接收到的ARP报文重定向到CPU,综合DHCPSnooping安全特性判断合法性且进行处理。3)ARP报文限速功能。H3C接入交换机支持端口ARP报文限速功能,受到攻击时则临时关闭,避免该类攻击对CPU的影响。4)杜绝静态IP地址更改及ACL访问控制列表实施。5)绑定唯一对应MAC和IP地址,只要有任何用户尝试修改其他地址,都将视为非法行为,产生网络中断,保证其安全性。这样对网络的访问,可挑选在接入及核心交换机上实施,很大程度上减轻出口防火墙的压力。不仅对于外网访问能做规则策略,对于内网网段之间同样可根据具体情况和需求实施不同访问控制。
2.2终端接入安全及管理
在该医院网络建设的过程中,如何提供安全的资源共享,有效的对访问网络资源的人员进行安全管理,成为网络管理人员越来越关注的焦点。目前,网络管理人员关注的问题主要有以下几个方面:①谁是你可信赖的用户?②这些用户应该看到什么?③他们允许在网络的资源上用到什么?④他们是否可以接入到信息资源?⑤他们什么时候可以获得操作权?⑥怎么管理这些移动的或分散于全省各地的用户?⑦这些用户对网络资源的访问是否符合该医院所设定的安全规范?进入隔离区的用户,只有通过一系列安装系统补丁、检查终端系统信息等操作,才能通过网络安全策略的检验。
3实施
3.1部门IP分配
由于网络地址为192.168.60.X到192.168.65.X,其中192.168.60.X是可以上医保网的网段,所以对名医堂、儿科、门诊大厅只能在网段192.168.60.X,药库、病案楼、新病房楼放入内网网段192.168.61.X和192.168.62.X,其余的部门放入外网网段,需要2个外网网段,最后192.168.65.X作为给分医院的。
3.2EAD部署说明
用户终端须安装iNode客户端,在上网前首先进行802.1x和安全认证,否则将不能接入网络或者只能访问隔离区的资源。其中,隔离区是指在交换机中配置的一组ACL,一般包括EAD安全代理服务器、补丁服务器、防病毒服务器、DNS、DHCP等服务器的IP地址。其中EAD安全代理服务器和防病毒服务器必须部署于隔离区,杀毒软件可以选择瑞星杀毒软件、金山毒霸2013、Norton防病毒、趋势防病毒、安博士防病毒、CAKill安全甲胄、McAFee防病毒以及江民KV防病毒软件。
3.3实施效果
合法用户接入网络后,其访问权限受交换机中的ACL控制。特定的服务器只能由被授权的用户访问。用户之间的互访权限也同样受ACL控制,不同角色的用户分属不同的VLAN,不可跨VLAN访问。必须在通过安全客户端的检查后,保证没有感染病毒才能安全接入网络。而且病毒库版本和补丁得到及时升级。
4结束语
最后,本网络改造设计根据该医院的实际情况,从网络改造方案来针对问题提出解决方法,以H3C交换机为例从ARP攻击的防御到终端的安全管理的实施来解决该医院存在的ARP攻击严重的问题,以期对ARP防御工作有所帮助。
作者:陈磊 单位:江苏省广电有线信息网络股份有限公司常州分公司
本文html链接: http://www.istpei.com/qkh/33888.html